Windows-Sicherheitsleitfaden

siehe auch: Anleitung zu IT-Sicherheit

Die hier dargelegten Vörschläge sind zwar weithin allgemein gültig, beziehen sich aber größtenteils auf die verbreiteten Microsoft Windows-Betriebssysteme. Bei aktuellen Linux-Distributionen ist ein Virenscanner nicht nötig, da in freier Wildbahn keine Viren für dieses Betriebssystem vorhanden sind. Nicht für jeden Nutzer sind alle aufgezeigten Maßnahmen uneingeschränkt gültig, vielmehr sollte man den Text als Leitfaden für weitere Überlegungen sehen.

Das Betriebssystem und die installierte Software muss aktuell gehalten werden, da jedes veraltete Programm Sicherheitslücken beinhaltet, die durch neuere Versionen behoben werden. Ein aktueller Virenscanner ist ebenfalls Pflicht – der in Windows 10 integrierte Windows Defender ist genauso gut wie kostenlose Virenscanner von Avast, AVG und G Data.

Ein vollständiger Scan des Systems ist nur direkt nach der Installation des Schutzprogramms und danach ungefähr jeden Monat erforderlich. Ohne aktuelle Virensignaturen ist das auch das beste Schutzprogramm machtlos! Somit sollten die automatischen Update-Funktionen der Programme genutzt werden, diese Signaturen jeden Tag zu aktualisieren. Die weit verbreitete Bauernregel "doppelt gemoppelt hält besser" greift hier nicht: wenn man zwei Virenwächter gleichzeitig installiert, wird das System instabiler und unsicherer, da im schlimmsten Fall Systemfunktionen des einen Scanners vom anderen für schädlich gehalten werden.

Windows selbst besitzt eine automatische Update-Funktion, über die regelmäßig neu entdeckte Sicherheitslöcher im Microsoft-Betriebssystem gestopft werden. Hier gilt dasselbe wie bei den Virenscannern: die automatischen Updates sollten auf jeden Fall aktiviert werden!

Um Hackern das Erraten von Passwörtern zu erschweren und zu verhindern, dass ein einmalig erratenes Passwort zum Anmelden für mehrere Dienste benutzt werden kann, sollte man für jeden Dienst (Windows-Anmeldung, Webseiten, Chat-Systeme, Foren) ein eigenes Passwort aus Zahlen, Sonderzeichen und klein und groß geschriebenen Buchstaben verwenden.

Damit man sich das Passwort trotzdem einfach merken kann, sollte man einfache, aber nicht einfach zu erratende Phrasen nutzen. Diese sollte man im Kopf mit Eselsbrücken verbinden können und mindestens elf Zeichen lang sein. Außerdem sollte weder das ganze Passwort noch Teile davon in einem Wörterbuch stehen.

So sicher ein Passwort auch ist, wenn man es aufschreibt und in die Brieftasche steckt oder fremden Leuten verrät, hat man diesen Vorteil schon zunichte gemacht. Am Telefon sollte man auf keinen Fall Passwörter herausgeben!

Wenn es zu viele Passwörter zum Merken sind, empfehle ich den Passwortmanager keepassxc, mit dem man sichere Passwörter generieren und sicher verschlüsselt speichern kann. Ein Masterpasswort gewährt einem dann Einblick in die Passwortsammlung. Wenn man dieses Masterpasswort vergisst, gibt es keine Möglichkeit mehr an die Passwörter heranzukommen.

Auch die Aktivierung von Zwei-Faktor-Authentifizierung ist für viele Internetdienste verfügbar und sinnvoll.

Der Sinn eingeschränkter Nutzerkonten ohne Admin-Rechte liegt auf der Hand: unter diesen Konten kann kaum Software installiert werden, im Gegensatz zum Administratorenzugang hat man keinen Zugriff auf wichtige Systemdateien. Durch diese Einschränkungen ist es Malware, die vom eingeschränkten Nutzerkonto aus operiert, nicht möglich Systemdateien zu verändern oder eigene Software tief im System zu verankern.

Ab Windows Vista arbeitet man im Gegensatz zu XP standardmäßig nicht mit Administratorrechten, sondern mit Nutzerrechten und der Benutzerkontensteuerung UAC. Dadurch muss man für das Ändern von Systemeinstellungen oder den Zugriff auf geschützte Systembereiche einen Dialog abnicken. Das macht man nach einigen Nachfragen auch ohne nachzudenken – auch hier ist es wichtig, ein separates Administratorenkonto mit Passwort zu nutzen, damit bei wichtigen Änderungen eine Passwortabfrage erscheint.

In vielen Haushalten finden sich kabellose Netzwerke (WLAN). Nur zu schnell wird aus Bequemlichkeit oder Unwissenheit die Absicherung des Funknetzes mit geeigneten Verschlüsselungsverfahren und einem starken Passwort außer Acht gelassen.

Obwohl beim Betreiben eines "offenen" W-LAN-Netzes sowohl mit Daten- und Privatsphärenverlust als auch bereits Strafanzeigen betreffend einer Störerhaftung gerechnet werden muss, drücken viele Haus-und-Hof-Netzwerker einfach mal ein Auge zu. Die Folge dieser Mentalität: nach inoffiziellen Schätzungen sind bundesweit ca. 30%-40% aller W-LAN-Netze nicht oder unzureichend (mit dem einfach zu knackenden WEP oder dem Standardpasswort) verschlüsselt.

Ich empfehle ausschließlich das als ausreichend sicher geltende W-LAN-Verschlüsselungsverfahren WPA2-PSK mit AES-Verschlüsselung einzusetzen. Das Verschlüsselungsverfahren WEP lässt sich innerhalb von 60 Sekunden knacken, der verbesserte Nachfolger WPA in wenigen Stunden. Auch hier gilt: die sicherste Verschlüsselung ist wirkungslos, wenn das Passwort leicht zu erraten ist!

Ein weit verbreiteter Irrglaube ist die Notwendigkeit einer Personal Firewall. Für Privatanwender ist es fast nie nötig, eine separate Firewall zu installieren: Sofern man einen Router benutzt, der NAT beherrscht, kann man sich die Personal Firewall sparen. Direkte Angriffsversuche eines Hackers verebben dann meistens bereits am Router, da die im lokalen Netz liegenden Geräte für das Internet durch die NAT nicht sichtbar sind (die NAT-Funktion trennt lokale Netze von globalen Netzen wie dem Internet).

Wenn man trotzdem eine Firewall benutzen möchte, reicht die bei aktuellen Microsoft-Betriebssystemen (Windows Vista oder später) schon integrierte Firewall in den meisten Fällen aus. Vorteile der Windows-eigenen Firewall: sie verbraucht wenig Ressourcen, man muss keine zusätzlichen Tools installieren, sie integriert sich in die Windows-Umgebung und ist einfach zu konfigurieren.

Anstatt den bei Windows standardmäßig vorinstallierten Internet Explorer kannst Du einen alternativen Browser wie Mozilla Firefox einsetzen. Durch das Prinzip des offengelegten Quellcodes werden Schwachstellen im Programmcode schnell erkannt und durch Einbindung einer großen Programmierergemeinschaft schnell behoben, somit gibt es wenig Angriffsfläche für die Verbreitung von Schadsoftware über den Browser. Angenehmer Nebeneffekt: die Surfgeschwindigkeit ist höher als beim Internet Explorer und der Computer wird nicht so stark ausgelastet.

Als "nützliche Software" getarnte Ausspähprogramme wie z.B. die ICQ Toolbar oder die Alexa Toolbar und ihre Brüder und Schwestern solltest Du deinstallieren. Diese Software ist nicht direkt schädlich, verzögert aber den Start von Windows sowie dem eingesetzten Browser, analysiert das Surfverhalten und bringt keinen Mehrwert zu weniger lästigen Add-Ons oder schon in den Browser eingebauten Funktionen.

Alternative Browser bieten viele Möglichkeiten, das Surferlebnis nach eigenen Vorstellungen anzupassen und zu erweitern. Für Firefox alleine sind zum Zeitpunkt der Erstellung dieses Artikels auf der öffentlichen Add-On-Seite über 17.000 Erweiterungen verfügbar. Viele Add-Ons machen den täglichen Internet-Alltag komfortabler und sicherer.

Das Add-On µBlock Origin ist für Firefox und Opera verfügbar und blockt viele Werbebanner auf Internetseiten. Dies erhöht die Sicherheit und die Surfgeschwindigkeit, da die geblockte Werbung nicht heruntergeladen wird.

In µBlock kannst Du auch Filter einstellen, welche Funktionen zur Nutzerverfolgung und -identifikation (z.B. die Erstellung von Surfprofilen) verhindern.

Ebenso wie beim Internet-Browser kann man auch beim Abrufen der eMails einige Absicherungen treffen. So sollte man möglichst nicht das unsichere eMail-Programm Outlook von Microsoft verwenden, sondern besser einen alternativen Mail-Client wie Mozilla Thunderbird oder die bei Opera schon eingebauten eMail-Funktionen nutzen. Die selben Vorteile wie zuvor bei den Browsern angemerkt, gelten auch für die eMail-Clients: höhere Sicherheit, häufigere Updates, viele Erweiterungsmöglichkeiten.

Wenn man nur ein eMail-Konto besitzt, kann man sich zusätzliche Programme, die erst bei mehreren Postfächern oder abonnierten Newsgroups ihre Fähigkeiten ausspielen können, sparen. Fast alle Mail-Anbieter bieten die Möglichkeit, sich direkt auf deren Seite in das Postfach einzuloggen. Der Vorteil dieser Variante liegt darin, dass der eMail-Anbieter für die Sicherheit verantwortlich und die Mails von jedem Computer aus abrufbar sind. Möglich gemacht durch heutige Web-Techniken bedienen sich viele Web-Postfächer ebenso flüssig wie lokale Anwendungen, auch Spam muss man dank den vom Anbieter bereit gestellten Filtern kaum noch fürchten.

Kein System der Welt ist unverwundbar, so gut es auch gesichert ist. Die größte Schwachstelle eines Computersystems stellt nach wie vor der Mensch dar. Viele Menschen denken, mit den bereits angesprochenen Sicherheitsmaßnahmen sei man absolut sicher vor allen Gefahren aus dem WWW. Dies ist schlichtweg falsch: wenn man selbst im Internet nicht aufpasst, kann man sich trotz der Sicherheitsmaßnahmen schneller Schadsoftware einfangen und/oder ausgespitzelt werden, als man denkt.

Du darfst auf keinen Fall eMail-Anhänge und Dateien aus dem Internet öffnen oder herunterladen, wenn deren Herkunft ungeklärt oder die Quelle nicht vertrauenswürdig ist. Du solltest nur so viele Informationen über Dich im Internet verbreiten, die Du jedem erzählen würdest – Das Internet vergisst nicht, und mit genügend Geschick sind fast alle Informationen zugänglich.